本节为您介绍镜像服务最佳实践汇总。 本节汇总了基于镜像服务常见应用场景的操作实践，每个实践为您提供详细的方案描述和操作指导，帮助您轻松构建基于镜像的相关业务。 最佳实践 说明 跨账号同区域迁移云主机（迁移系统盘） 本节操作以Linux操作系统为例，为您详细介绍在同一区域内，跨帐号迁移系统环境数据（只迁移系统盘数据）的操作流程。 跨账号同区域迁移云硬盘（迁移数据盘） 本节操作以Linux操作系统为例，为您详细介绍在同一区域内，跨帐号迁移业务数据（只迁移数据盘数据）的操作流程。 转换镜像格式 本节提供本地为Windows操作系统和Linux操作系统的转换镜像格式的操作方法。 麒麟系统云主机配置图形化界面 麒麟系统云主机默认没有安装图形化界面，本节为您介绍如何安装图形化界面。 Windows操作系统云主机磁盘空间清理 清理Windows操作系统云主机的磁盘空间可以帮助您释放存储空间并提升系统性能。本节为您介绍一些常见的磁盘空间清理步骤和建议。 统信系统本地源方式安装GUI图形化组件 本节为您介绍如何以本地源方式为统信系统安装GUI图形化组件。 使用Packer制作私有镜像 本文为您介绍，如何使用Packer工具快速制作私有镜像文件，以便您通过镜像导入功能上传私有镜像。 openGauss数据库调优镜像最佳实践 本文为您介绍，天翼云与 openGauss 社区联合推出的openGauss数据库调优镜像，使用该镜像，用户可快速部署 openGauss 数据库，并获得优于默认配置的性能表现。

本章主要介绍翼MapReduce的配置HBase允许修改操作的IP地址白名单功能。 当HBase集群开启Replication功能时，为了保护主备集群的HBase数据一致性，对备集群HBase增加了数据修改操作的保护。当备集群HBase接收到数据修改操作的RPC请求时，首先检查发出该请求的用户的权限，只有HBase管理用户才有修改权限；其次检查发出该请求的IP的有效性，备集群只接收来自IP白名单中的机器发起的修改请求。IP白名单通过配置项“hbase.replication.allowedIPs”配置。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > 服务名 > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 详见下表：参数说明 配置参数 说明 默认值 hbase.replication.allowedIPs 仅允许指定IP地址的复制请求。支持逗号分隔型regex模式。以下模式均支持： Regex模式例如: 10.18.40. , 10.18. , 10.18.40.11 Range模式（只能指定八位字节的最后一个的范围）例如: 10.18.40.[1020] 参数值默认为空，为空时IP白名单为备集群RegionServer的IP，表示只接受来自备集群RegionServer的修改请求。 N/A

本章节主要介绍翼MapReduce的批量刷新hosts文件操作。 操作场景 在FusionInsight Manager界面上下载的客户端包中包含客户端批量升级工具，该工具在提供批量升级客户端功能的同时，也提供了轻量级的批量刷新客户端所在节点“/etc/hosts”文件的功能。 前提条件 更新前准备请参考批量升级客户端章节“客户端升级前准备”步骤。 批量更新hosts文件 1. 检查需要更新“/etc/hosts”文件的节点的配置用户是否为“root”。 是，执行步骤2。 否，更改配置用户为“root”，再执行步骤2。 2. 执行 sh clientbatchupgrade.sh r f /tmp/FusionInsightClient/FusionInsightCluster1ServicesClient.tar g /tmp/FusionInsightClient/FusionInsightCluster1ServicesClientConfig/batchupgrade/clientinfo.cfg ，批量刷新客户端所在节点的“/etc/hosts”文件。 说明 执行批量刷新“/etc/hosts”文件时，输入的客户端包可以是完整客户端，也可以是仅包含配置文件的客户端软件包，推荐使用仅包含配置文件的客户端软件包。 需要更新“/etc/hosts”文件的主机所配置的用户必须为root用户，否则会刷新失败。

操作场景 节点是指纳管到容器集群的计算资源，包括虚拟机、物理机等。用户需确保所在集群的节点资源充足，若节点资源不足，会导致创建工作负载等操作失败。 前提条件 已创建至少一个集群，请参见集群管理>购买混合集群。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 说明： 若使用密码登录节点，请跳过此操作。 约束与限制 仅支持创建KVM虚拟化类型的节点，非KVM虚拟化类型的节点创建后无法正常使用。 集群中的节点一旦购买后不可变更可用区。 集群中通过“按需计费”模式购买的节点，在CCE“节点管理”中进行删除操作后将会直接被删除；通过“包年/包月”模式购买的节点不能直接删除，请通过页面右上角用户名称下的“我的订单”执行资源退订操作。 操作步骤 步骤 1 登录CCE控制台，可通过如下两种方式进入“购买节点”页面： 在左侧导航栏中选择“资源管理 > 节点管理”，选择节点所在的集群后，在节点列表页面单击上方的“购买节点”。 在左侧导航栏中选择“资源管理 > 集群管理”，在集群卡片上，单击“购买节点”。 步骤 2 计费模式：支持“按需计费”和“包年/包月”类型。本章以“按需计费”类型为例进行讲解。 步骤 3 选择区域和可用区。 当前区域：节点实例所在的物理位置。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高工作负载的高可靠性，建议您在创建集群后将云服务器部署在不同的可用区，购买集群时节点只能部署在一个可用区。 步骤 4 节点类型：选择“虚拟机节点”。配置以下参数。 节点名称：自定义节点名称。长度范围为156个字符，以小写字母开头，支持小写字母、数字、中划线()，不能以中划线()结尾。 节点规格：请根据业务需求选择相应的节点规格。 −通用型：该类型实例提供均衡的计算、存储以及网络配置，适用于大多数的使用场景。通用型实例可用于Web服务器、开发测试环境以及小型数据库工作负载等场景。 −GPU加速型：提供优秀的浮点计算能力，从容应对高实时、高并发的海量计算场景。P系列适合于深度学习，科学计算，CAE等；G系列适合于3D动画渲染，CAD等。 −高性能计算型：实例提供具有更稳定、超高性能计算性能的实例，可以用于超高性能计算能力、高吞吐量的工作负载场景，例如科学计算。 −通用计算增强型：该类型实例具有性能稳定且资源独享的特点，满足计算性能高且稳定的企业级工作负载诉求。 为确保节点稳定性，系统会自动预留部分资源，用于运行必须的系统组件。详细请参见节点预留资源计算公式。 操作系统：请直接选择节点对应的操作系统。 系统盘：设置工作节点的系统盘空间。您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为40GB。 在默认情况下，系统盘可提供高IO、超高IO两种基本的云硬盘类型。 数据盘：设置工作节点的数据盘空间。您可以设置数据盘的规格为100GB32678GB之间的数值，缺省值为100GB。数据盘可提供的云硬盘类型与上方系统盘一致。 说明：若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。建议不要删除该数据盘。 −数据盘空间分配：单击后方的“更改配置”，可以对数据盘中的“k8s空间”和“用户空间”占比进行自定义设置，开启LVM管理的数据盘将按照设置的比例进行统一分配。部分集群版本不支持此功能，具体以界面为准。 k8s空间：您可以自定义数据盘中Docker和Kubelet的资源占比。Docker资源包含Docker工作目录、Docker镜像数据以及镜像元数据；Kubelet资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。 用户空间：定义本地盘中不分配给kubernetes使用的空间大小和用户空间挂载路径。 说明：请注意“挂载路径”不能设置为根目录“/”，否则将导致挂载失败。挂载路径一般设置为： /opt/xxxx（但不能为/opt/cloud） /mnt/xxxx（但不能为/mnt/paas） /tmp/xxx /var/xxx （但不能为/var/lib、/var/script、/var/paas等关键目录） /xxxx（但不能和系统目录冲突，例如bin、lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、tmp、var、media、opt、selinux、sys、usr等） 注意不能设置为/home/paas、/var/paas、/var/lib、/var/script、/mnt/paas、/opt/cloud，否则会导致系统或节点安装失败。 虚拟私有云：不可修改，仅用于展示当前集群所在的虚拟私有云。 所在子网：通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。可选择该集群虚拟私有云下的任意子网，集群节点支持跨子网。 该参数仅在v1.13.10r0及以上版本的集群中显示，请务必确保子网下的 DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 已有集群添加节点时，如果子网对应的VPC新增了扩展网段且子网是扩展网段，要在控制节点安全组（即集群名称ccecontrol随机数）中添加如下三条安全组规则，以保证集群添加的节点功能可用（新建集群时如果VPC已经新增了扩展网段则不涉及此场景）： 弹性IP ： 独立申请的公网IP地址，若节点有互联网访问的需求，请选择“暂不使用”或“使用已有”。集群开启 IPv6 时，不显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 暂不使用：若新增节点未绑定弹性IP，则在该节点上运行的工作负载将不能被外网访问，仅可作为私有网络中部署业务或者集群所需云服务器进行使用。 使用已有：请选择已有的弹性IP，将为当前节点分配已有弹性IP。 说明： CCE默认不启用VPC的SNAT。若VPC启用了SNAT，可以不使用EIP去访问外网。 共享带宽： 请选择“暂不使用”或“使用已有”。仅在集群开启 IPv6 时，显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 登录方式：支持密码和密钥对。 −选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 −选择“密钥对”：选择用于登录本节点的密钥对，支持选择共享密钥。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 说明： 如果子用户创建节点选择密钥对创建，这个密钥只对创建这个密钥的子用户有效，即使其他子用户在同一个组也无法选择，也无法使用。例如：A用户创建的密钥，B用户无法使用这个密钥对创建节点，并且Console也选不到。 云服务器高级设置： （可选），单击展开后可对节点进行如下高级功能配置： −安装前执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。常用于格式化数据盘等场景。 −安装后执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。常用于修改Docker配置参数等场景。 −新增数据盘：单击“新增数据盘”，选择云硬盘类型并输入数据盘规格。 −子网IP ：可选择“自动分配IP地址”和“手动分配IP地址”，推荐使用“自动分配IP地址”。 Kubernetes 高级设置： （可选），单击展开后可对集群进行如下高级功能配置： −最大实例数：节点最大允许创建的实例数(Pod)，该数量包含系统默认实例，取值范围为16~128。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 节点购买数量： 此处设置的节点数不能超过集群管理的最大节点规模，请根据业务需求和界面提示进行选择，单击后方的可查看影响能添加节点数的因素（取决于最小值）。 步骤 5 购买时长：若选择“包年包月”的计费模式购买节点时，请设置购买时长。 步骤 6 单击“下一步：配置确认”，确认订单无误后，单击“提交”。 若计费模式为“包年包月”，在确认订单无误后，请单击“去支付”，请根据界面提示进行付款。 系统将自动跳转到节点列表页面，待节点状态为“可用”，表示节点添加成功。添加节点预计需要810分钟左右，请耐心等待。 说明： 集群创建时自动创建的安全组以及安全组规则禁止删除，否则会导致集群异常。 步骤 7 单击“返回节点列表”，待状态为可用，表示节点创建成功。 说明： 可分配资源：可分配量按照实例请求值(request)计算，表示实例在该节点上可请求的资源上限，不代表节点实际可用资源。 计算公式为： 可分配CPU CPU总量 所有实例的CPU请求值 其他资源CPU预留值 可分配内存 内存总量 所有实例的内存请求值 其他资源内存预留值

本章节主要介绍使用系统自带磁盘清理工具清理磁盘空间。 操作场景 本章节指导用户通过Windows操作系统自带的磁盘清理工具来清理空间不足的磁盘。 本文以操作系统为“Windows Server 2016 Standard 64bit”的云服务器为例。不同操作系统的云服务器清理步骤可能不同，本文仅供参考，具体操作步骤和差异请参考对应操作系统的产品文档。 操作步骤 1. 在云服务器桌面，单击左下方开始图标。 弹出常用程序窗口。 2. 在左侧导航栏中，选择“Windows管理工具 > 磁盘清理”。 弹出“磁盘清理：驱动器选择”窗口。 图 磁盘清理：驱动器选择 3. 在下拉框中，选择待清理的磁盘，以“C盘”为例。 弹出“磁盘清理”窗口，此时系统自动计算可在C盘上释放的空间。 图 磁盘清理 4. 自动计算完成后，在弹窗中勾选要删除的文件，并单击“确定”。 弹出确认删除对话框。 图 确认删除 5. 单击“删除文件”，开始清理磁盘，释放磁盘空间。

本文介绍天翼云AOne会议产品资费。 基础套餐（必须） AOne会议提供免费版、标准版、旗舰版三种套餐，满足不同规模与场景下的会议需求： 免费版：适用于个人或小团队试用体验，单会议室最多10人同时参会，赠送1GB云录制空间，智能云录制每月赠送2次，最多可订购5个账号。 标准版：适用于中小企业的日常协作场景，单会议室最多100人同时参会，赠送100GB云录制空间，智能云录制不限次数，性价比高。 旗舰版：面向中大型企业或高要求场景，单会议室最多300人同时参会，赠送600GB云录制空间，智能云录制不限次数，开放会议全能力。 套餐单价 计费项 套餐版本 年付价格（元/个/年) 月付价格(元/个/月) 高级账号数 免费版 0 0 高级账号数 标准版 888 78 高级账号数 旗舰版 1290 129 增值服务（可选） 除基础套餐外，AOne会议还提供灵活的增值服务，满足更大规模或专业场景的使用需求： 大型会议室 当免费版、标准版或旗舰版会议的并发参会人数无法满足需求时，您可单独订购大型会议室资源，支持扩展至500方、1000方或2000方的并发容量，适用于大型内部会议、线上发布会等大规模会议场景。 计费项 云会议室容量 年付价格（元/个/年） 月付价格（元/个/月） 大型会议室 500方 10788 1078 大型会议室 1000方 21888 5888 大型会议室 2000方 50888 10888 说明 “方”指终端连接数，即同时接入会议的终端数量上限。例如，500方即支持最多500个终端同时接入。 若您当前基础套餐剩余有效时间不足一个月，将无法订购大型会议室。建议您先续订基础套餐后再进行订购。

云服务名称 是否支持条件键 云通信短信 否 弹性文件服务 否 分布式消息服务Kafka 否 账务 是 分布式消息服务RabbitMQ 否 分布式消息服务RocketMQ 否 云硬盘 是 天翼云电脑（政企版） 是 内网DNS 否 CRM业务中台 是 分布式缓存服务Redis版 否 弹性云主机 是 弹性负载均衡 否 镜像服务 是 云监控 否 弹性伸缩服务 否 虚拟私有云 是 物理机 否 云硬盘备份 否 云主机备份 否 服务器安全卫士（原生版） 否 密钥管理 否 云间高速 否 统一身份认证 是 客服工单 是 容器云服务引擎CCSE 是 微服务应用平台MSAP 否 活动与券 是 消息管理 是 Web应用防火墙（原生版） 否 云审计 否 企业组织 是 VPC终端节点 否 NAT网关 是

1 、备案的目的 根据《互联网信息服务管理办法》规定，在中华人民共和国境内从事互联网信息服务活动，需要先进行备案并获取通信管理局下发的ICP备案号，才允许对外提供互联网信息服务。 备案成功后，通信管理局会分配主体备案号给备案主体（个人或单位均可称为主体），同时也会给此次备案的网站分配网站备案号。 主体备案号格式为：（省简写）ICP备+主体序列号（8位数字） 网站备案号格式为：（省简写）ICP备+主体序列号（8位数字）网站序列号 举例： 天翼云官网（域名ctyun.cn）的网站备案号为：京ICP备 2021034386号34  公司主体备案号为：京ICP备2021034386号。 2 、如何备案 1） 登录天翼云官网备案我的备案 2） 输入本次备案的单位信息和域名（或APP）信息创建备案订单 3） 完善备案信息 4） 上传资料，建议选择“通过微信小程序采集图片”，此步骤会通过手机进行网站负责人的活体验证，方便快捷 5） 提交管局审核 6） 备案完成 3 、域名：非gov.cn的域名备案只能备案一级域名 非gov.cn的域名备案只需备案一级域名，一级域名备案后对应的二级域名、三级域名可以正常使用。 举例：天翼云官网的一级域名为：ctyun.cn，备案完成后对应的二级域名：.ctyun.cn均可正常使用。 境外注册域名不可进行备案。 4 、备案需要多久 1） 天翼云1个工作日内对您的备案信息进行初审。 2） 备案信息提交至通信管理局后，各省管局审核时间不一，管局按照各接入商提交单据的顺序进行审核，审核时间不超过20个工作日。 5 、备案类型 根据主体和域名是否第一次做备案，可以分为不同的备案类型，不同的备案类型填写的信息略有差异。 1) 增加备案信息的类型有： 首次备案（新增备案）：主体和域名均为第一次做备案。 新增互联网信息服务：该主体已备案过其他网站（APP），此次填写的域名（APP）是第一次做备案。 接入备案：主体和域名均已备案，此次备案是办理接入商的变更。 2) 删除备案信息的类型有： 注销主体：删除该主体下的所有备案信息，包括主体信息和网站信息 注销网站：删除主体下的某个网站，主体信息仍然保留 取消接入：删除备案信息和接入商的关联，建议在新的接入商处完成接入备案后再取消接入，否则备案信息可能会被通信管理局注销 3) 修改备案信息的类型有： 变更主体：变更主体信息，如修改公司通信地址等 变更互联网信息服务：变更网站（APP）信息，如删除域名、修改网站负责人、变更IP等 只有在天翼云完成备案的网站，才可以提交变更。 6 、备案需要准备什么材料 个人备案 A. 二代身份证扫描件或拍照件 B. 《ICP备案信息真实性核验单》：去下载。 C. 电子版域名证书： 可到域名注册商处下载域名证书。 根据《工业和信息化部关于规范互联网信息服务使用域名的通知》工信部信管﹝2017﹞264号规定，自2018年1月1日起，域名注册所有人必须是备案主体或者备案主体单位法人。 D. 电子版信息需提供原件： 根据管局规定，证件类的材料必须为原件扫描件或拍照，不可使用彩色复印件。 单位备案 A. 单位证件： 企业需提供营业执照（副本）扫描件/拍照件、机关提供统一社会信用代码证，事业单位提供事业单位法人证书 B. 负责人身份证扫描件/拍照件（外国人可提供护照等其他证件） C. 《ICP备案信息真实性核验单》：去下载。 D. 可到域名注册商处下载域名证书。 根据《工业和信息化部关于规范互联网信息服务使用域名的通知》工信部信管﹝2017﹞264号规定，自2018年1月1日起，域名注册所有人必须是备案主体或者备案主体单位法人。 E. 网站负责人法人授权书（可选）： 如果网站负责人填写的不是法人，还需额外提供授权书，去下载。 7 、接入备案 为什么要办理接入备案？根据国家相关要求，如果您已在A接入商购买服务器并成功办理了ICP备案，当您计划将网站搭建到B接入商平台时（或网站同时在多家接入商平台上运营时），需到B接入商处办理备案，备案信息接入B接入商的过程称为“接入备案”。 另外，如果不办理接入备案即开通网站，您的网站将有可能被阻断无法访问 8 、使用海外服务器不需要备案 购买中国香港或海外服务器无需备案，备案仅针对国内（港澳台地区除外）节点服务器。 9 、境外企业如何备案 目前境外企业无法备案，需要在国内（港澳台地区除外）设立分公司持有国家认可的单位证件才能进行备案。（建议境外企业考虑使用中国香港服务器，使用中国香港服务器无需备案） 10 、备案专有名词 一级域名：一级域名也叫顶级域名，abc.com为一级域名，a.abc.com为二级域名；abc.edu.cn也是一级域名，因为edu.cn本身也是一个域名后缀。 主体：办理备案的个人或者单位均称为备案主体 接入商：提供网站搭建平台并协助您办理备案的即为接入商 主体负责人：单位办理备案时填写的主办单位负责人，一般建议填写公司法人 网站负责人：单位办理备案时填写的网站负责人，负责网站建设等工作，可以填写法人也可以根据实际情况填写相关负责人

您可以创建IAM子用户，为IAM用户授予不同的权限，提供给企业各部门来管理短信服务资源，避免用户共用云账号密钥，降低企业信息安全风险。 背景信息 云通信支持通过IAM创建IAM子账号，并为其授予云通信的操作或查看权限，便于多用户协同操作。 IAM支持为用户绑定自定义权限策略，需要主用户创建对应的策略机制。 权限策略 权限策略包含系统策略 和 自定义策略 ，您可以根据需求选择系统策略或自定义策略，为IAM子账号进行授权。 系统策略 系统策略权限定义如下表所示： 策略名称 作用 适用范围 SMS admin 用于管理云通信服务的权限，包含读写。 能够进入短信服务控制台，使用控制台的所有操作。 SMS viewer 用于只读云通信服务的权限，仅可查看。 仅查看控制台，不做任何操作。 自定义策略 如果系统策略无法满足您的需求，您可以自定义符合您要求的权限策略。 1.使用天翼云账号登录这里进入IAM系统。 2.在左侧导航栏点击策略管理。 3.在右上角点击创建自定义策略按钮。 为IAM子账号授权

本小节介绍服务器安全卫士的应用场景。 主机安全防护 主机安全，是企业网络安全的最后一公里，一旦被攻击会直接影响到企业业务。正因如此，国家相关法律法规对主机的入侵检测和恶意木马的防护都有严格的要求。入侵检测以生产服务器为安全防护中心，横跨物理和虚拟环境，私有云、公有云和混合云等多种云环境下物理机、云主机、虚拟机，甚至容器等工作负载，能够实时、准确地感知入侵事件，发现失陷主机，并根据入侵场景不同，提供了包括自动封停、手动隔离、黑 / 白名单和自定义处理任务等多种处理方式，让用户从根本上解决入侵事件。有主机的地方就需要主机入侵检测。 发现新型漏洞 至今已积累30000+的高价值漏洞库，包括系统/应用漏洞、EXP/POC等大量漏洞，覆盖全网90%安全防护。同时，基于Agent的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。更新的补丁库以及Agent探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的危险。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

接口功能介绍 报表管理预览报表 接口约束 无 URI POST /v1/safetyReport/event/preView 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 id 否 String 报表id SR10001 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 0 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 type String 类型 statisticalPeriod String 统计周期 20251112 00:00:0023:59:59 createTime String 基础信息生成时间 20251112 00:00:00 userAccount String 用户账号 testaccount hostRange Object 主机范围 hostRange module String 报表统计功能模块，多个空格分割 BASELINE基线检测 VULSCAN漏洞扫描 WEBTAMPER网页防篡改 VIRUS病毒检测 INTRUSIONDETECTION入侵检测 BASELINE INTRUSIONDETECTION VULSCAN WEBTAMPER VIRUS digestHostsCount Integer 主机总数 100 digestRiskCount Integer 发现风险总数 100 digestAlarmCount Integer 入侵告警总数 100 agentChart Array of Objects agent状态分布 [{"count":100,"name":"ONLINE","percent":50.1,"nameCode":1},{"count":100,"name":"OFFLINE","percent":50.1,"nameCode":2},{"count":100,"name":"UNACTIVATED","percent":50.1,"nameCode":3},{"count":100,"name":"ERROR","percent":50.1,"nameCode":4}] agentChart offlineAgentList Array of Objects 离线主机列表 最多展示10条 offlineAgentList riskDiscoverInfo Object 风险数据统计 riskDiscoverInfo vulRiskInfo Object 漏洞扫描 风险信息 vulRiskInfo baseRiskInfo Object 基线扫描 风险信息 baseRiskInfo weakPwRiskInfo Object 弱口令风险 weakPwRiskInfo severityEvent Object 安全事件 severityEvent 表 severityEvent 参数 参数类型 说明 示例 下级对象 type String 类型 totalEvents Integer 总事件数 100 hostNum Integer 影响服务器数 100 severityChart Array of Objects 安全事件按威胁等级分布占比 LOW低危 MEDIUM中危 HIGH高危 [{name: "LOW", count: 4, percent: 3.88}, {name: "MEDIUM", count: 32, percent: 31.07},…] severityChart0 eventChart Array of Objects 安全事件按事件类型分布占比 VIRUS病毒 WEBTAMPER网页防篡改 1进程异常行为 2恶意软件 3用户异常行为 4恶意网络连接 5其他 [{name: "VIRUS", count: 79, percent: 76.7}, {name: "3", count: 15, percent: 14.56},…] eventChart affectedHostsTop5 Array of Objects 影响服务器 Top5 [{agentGuid: "1111", agentIp: "192.168.1.1", publicIp: "192.168.1.1", eventCount: 100, events: ["1", "2", "3", "4", "5"]},…] affectedHostsTop5 表 affectedHostsTop5 参数 参数类型 说明 示例 下级对象 custName String 受影响服务器主机名称 testhostname agentGuid String 受影响服务器guid testguid agentIp String 内网Ip 192.168.1.1 publicIp String 公网Ip 192.168.1.1 eventCount String 总事件数 Integer 100 events Array of Strings 事件类型 VIRUS病毒 WEBTAMPER网页防篡改 1进程异常行为 2恶意软件 3用户异常行为 4恶意网络连接 5其他 ["1","2","3"] 表 eventChart 参数 参数类型 说明 示例 下级对象 name String 名称 安全事件按威胁等级分布占比[LOW低危 MEDIUM中危 HIGH高危] 安全事件按事件类型分布占比[VIRUS病毒 WEBTAMPER网页防篡改 1进程异常行为 2恶意软件 3用户异常行为 4恶意网络连接 5其他] LOW count Integer 总数 100 percent String 占比 50.1 表 severityChart0 参数 参数类型 说明 示例 下级对象 name String 名称 安全事件按威胁等级分布占比[LOW低危 MEDIUM中危 HIGH高危] 安全事件按事件类型分布占比[VIRUS病毒 WEBTAMPER网页防篡改 1进程异常行为 2恶意软件 3用户异常行为 4恶意网络连接 5其他] LOW count Integer 总数 100 percent String 占比 50.1 表 weakPwRiskInfo 参数 参数类型 说明 示例 下级对象 type String 类型 hostNum Integer 弱口令风险服务器数量 100 risk Integer 弱口令风险数量 100 sysRisk Integer 系统弱口令风险数量 100 appRisk Integer 应用弱口令风险数量 100 lastScanTime String 上次扫描时间 20251112 00:00:00 lastScanRisks Integer 上次检查风险数量 100 scheduledTaskIsOpen Boolean 是否开启定时扫描 true开启 false关闭 true scheduledTaskConf Object 弱口令定时任务配置 scheduledTaskConf01 表 scheduledTaskConf01 参数 参数类型 说明 示例 下级对象 status Integer 状态 1开启 其他关闭 1 day Integer 间隔天数 1 hour Integer 扫描时间小时，1代表每间隔day天的凌晨1点minute分开始 1 minute Integer 扫描时间分钟，0代表每间隔day天的hour点的0分开始 0 checkType String 扫描类型，多个逗号分割 1：系统弱口令:2：应用弱口令 1,2 scope String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL 表 baseRiskInfo 参数 参数类型 说明 示例 下级对象 type String 类型 riskHosts Integer 基线风险服务器数量 100 checkItems Integer 基线检查项数量 100 checkHosts Integer 基线检查服务器数量 100 risks Integer 基线风险数量 100 lastScanTime String 上次扫描时间 20251112 00:00:00 lastScanRisks Integer 上次检查基线风险数量 100 scheduledTaskIsOpen Boolean 是否开启定时扫描 true开启 false关闭 true scheduledTaskConf Object 基线定时扫描配置 scheduledTaskConf0 表 scheduledTaskConf0 参数 参数类型 说明 示例 下级对象 id Integer 基线策略id 1 name String 基线策略名称 策略1 checkfrequency Integer 间隔天数 1 checktime String 扫描时间,01:0002:00代表再每checkfrequency天01:0002:00之间进行扫描 01:0002:00 ruleStatus Boolean 状态 true开启 false关闭 true description String 描述 描述 createtime String 创建时间 20200101 00:00:00 isDefault Boolean 是否默认策略 true默认策略 false非默认策略 true scope String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL day Integer 间隔天数 1 hour Integer 扫描时间小时，1代表每间隔day天的凌晨1点minute分开始 1 minute Integer 扫描时间分钟，0代表每间隔day天的hour点的0分开始 0 表 vulRiskInfo 参数 参数类型 说明 示例 下级对象 lastScanTime String 上一次漏洞扫描时间 20231212 17:32:00 lastScanVul Integer 上一次漏洞扫描发现的漏洞数 100 scheduledTaskIsOpen Boolean 漏洞扫描定时任务是否开启 true scheduledTaskConf Object 漏洞扫描配置 scheduledTaskConf emergenVul Integer 需紧急修复的漏洞数 100 unHandleVul Integer 未处理的漏洞数 100 hostNumVul Integer 存在的漏洞的服务器数 100 severityChart Array of Objects 漏洞修复优先级分布 [{"count":100,"name":"HIGHLVL","percent":50.1,"nameCode":1},{"count":100,"name":"LOWLVL","percent":50.1,"nameCode":2},{"count":100,"name":"MEDIUMLVL","percent":50.1,"nameCode":3}] severityChart emergenVulTop Array of Objects 需要紧急修复的漏洞top10 emergenVulTop 表 emergenVulTop 参数 参数类型 说明 示例 下级对象 title String 漏洞名称 Red Hat libxml2代码执行漏洞(CVE20256021) severity String 漏洞修复优先级 HIGH高 LOW低 MEDIUM中 HIGH count Integer 影响服务器数量 100 cve String CVE编号 CVE20256021 severityCode Integer 漏洞等级Code 1低 2中 3高 1 表 severityChart 参数 参数类型 说明 示例 下级对象 count Integer 数量 1 name String 名称 agent状态[ONLINE在线 OFFLINE离线 UNACTIVATED未激活 ERROR错误] 漏洞修复优先级[HIGHLVL高 LOWLVL低 MEDIUMLVL中] ONLINE percent String 百分比，如50.1% 此处的值时50.1 50.1 表 scheduledTaskConf 参数 参数类型 说明 示例 下级对象 status Integer 状态 1开启 其他关闭 1 day Integer 间隔天数 1 hour Integer 扫描时间小时，1代表每间隔day天的凌晨1点minute分开始 1 minute Integer 扫描时间分钟，0代表每间隔day天的hour点的0分开始 0 severity String 漏洞修复优先级,多个逗号分割，1低 2中 3高 1,2,3 timeout Integer 超时时间，单位分钟 60 scopeType String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL vulScanType String 漏洞扫描类型，多个逗号分割 LINUXLinux漏洞 WINDOWSWindows漏洞 WEBCMSWEB漏洞 APPLICATION应用漏洞 EMERGENCYVUL紧急漏洞 LINUX,WEBCMS,APPLICATION,EMERGENCYVUL vulType Array of Strings 漏洞扫描类型，多个逗号分割 LINUXLinux漏洞 WINDOWSWindows漏洞 WEBCMSWEB漏洞 APPLICATION应用漏洞 EMERGENCYVUL紧急漏洞 ["LINUX", "WINDOWS", "APPLICATION", "WEBCMS", "EMERGENCYVUL"] 表 riskDiscoverInfo 参数 参数类型 说明 示例 下级对象 type String 类型 totalRisk Integer 总风险项 100 vulRisk Integer 漏洞风险 100 baseRisk Integer 基线风险 100 weakPwRisk Integer 弱口令风险 100 表 offlineAgentList 参数 参数类型 说明 示例 下级对象 number Integer 序号 1 custName String 主机名称 testhost agentIp String 内网Ip 192.168.1.1 publicIp String 公网Ip 192.168.1.1 osType String 操作系统 Linux/Windows Windows regionName String 资源池 华东1 表 agentChart 参数 参数类型 说明 示例 下级对象 count Integer 数量 1 name String 名称 agent状态[ONLINE在线 OFFLINE离线 UNACTIVATED未激活 ERROR错误] 漏洞修复优先级[HIGHLVL高 LOWLVL低 MEDIUMLVL中] ONLINE percent String 百分比，如50.1% 此处的值时50.1 50.1 表 hostRange 参数 参数类型 说明 示例 下级对象 windows Integer windows主机数量 linux Integer linux 主机数量

本文将从CC攻击的含义以及Web应用防火墙（边缘云版）提供的防护能力来介绍CC安全防护功能。 功能介绍 CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 什么是CC攻击？ CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为标准版及以上版本，支持使用CC防护功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入安全配置页面。 3. 进入“CC配置”页面，可以配置CC防护策略。 配置说明 配置项 说明 CC防护 CC防护的功能开关 CC防护模式 1、【CC防护模式】设置为阈值，则域名访问达到防护条件时进行防护 2、【CC防护模式】设置为长久，则域名的每次访问都进行防护校验 阈值 即厨房防护动作的阈值，当统计频率内达到设定的阈值，将触发防护 统计频率 即设定时长内达到防护阈值，将触发防护。满足防护时长后，将重新开始计算统计频率 防护时长 即触发防护后的持续防护时间 在【统计周期】内达到【阈值】则接下来【防护时长】内符合条件的请求均进行防护校验。

本节介绍了什么是云容器引擎,便于用户对容器产品有个总体认识。 云容器引擎提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务；获得信通院可信云《全栈容器云解决方案》认证，兼容主流国产化服务器和操作系统，取得全栈国产化适配认证证书。其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力，帮助企业快速构建和运行可弹性扩展的应用，实现业务的快速交付与持续创新。 产品形态 云容器引擎包含专有版集群和托管版集群两种产品形态。各资源池对集群类型的支持情况以容器集群订购页面显示为准。自2026年4月1日起，原支持托管版的资源池将停止专有版集群的新建操作，但存量专有版集群业务可继续正常使用。 比较项 专有版集群 托管版集群 比较项 专有版集群 单实例 高可用 特点 自行创建控制节点（Master节点）以及工作节点（Worker节点） 只需创建工作节点（Worker节点），控制节点（Master节点）由云容器引擎创建并托管，您无需管理控制节点 计费项 集群管理、控制节点、工作节点以及其他IaaS云资源 集群管理、工作节点以及其他IaaS云资源 应用场景 适用于所有场景，您可以对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群 适用于个人学习体验 适用于对性能、可用性和安全性有更高要求的企业级用户 用户画像 有Kubernetes开发运维背景，懂Kubernetes 对控制节点（Master节点）有定制化需求 有明确的集群资源规划，完全自管集群 Kubernetes新手，用于个人学习体验 个人开发与测试 减少对Kubernetes的运维投入以及成本投入 不关心控制节点（Master），只关注业务应用 企业生产系统部署

本文简要介绍组播的使用限制及使用前提。 使用限制 在VPC中创建的弹性网卡，如果未绑定到云服务器，不支持加入组播网络。 弹性网卡被指定为组播成员后，如果您在VPC中删除该弹性网卡，则该弹性网卡关联的组播对象关系自动解除，当前弹性网卡（辅助网卡）仅支持动态加入。 在云间组播场景时，若组播成员同时选择IGMPv2和IGMPv3加入组播组，则只会接受IGMPv2的（，G）的report。 同地域的多个组播域之间互不相通。 一个VPC下仅支持创建一个组播域。 一个组播域下支持创建多个组播组，各个组播组的IP地址不能相同。 仅支持弹性网卡的主私网IP地址作为组播网络通信对象，弹性网卡其余IP地址不支持组播通信。 当前不支持IPv6类型组播，仅支持IPv4类型。 对于知名组播地址（224.0.0.0～224.0.0.255，239.0.0.0～239.255.255.255）会做下发限制，暂不允许添加，如您的页面不支持添加知名组播地址的特殊入口，联系工单开放白名单功能。 组播资源的配额限制如下表所示。 资源 默认配额 提升配额 单个租户可以创建的组播域数量 50 不可申请 单个组播域可以创建的组播组数量 30 不可申请 使用前提 1、您已创建虚拟私有云、云服务器等实例。如有云上云下建立组播的需求，需提前准备好云专线。 2、您已配置好客户侧路由及云内专线与VPC的关系（专线的配置仅当云上云下建立组播的时候需要）。 3、确保安全组已放通组播源和组播成员对应的端口号。

本节介绍了什么是云容器引擎,便于用户对容器产品有个总体认识。 云容器引擎提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务；获得信通院可信云《全栈容器云解决方案》认证，兼容主流国产化服务器和操作系统，取得全栈国产化适配认证证书。其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力，帮助企业快速构建和运行可弹性扩展的应用，实现业务的快速交付与持续创新。 产品形态 云容器引擎包含专有版集群和托管版集群两种产品形态。各资源池对集群类型的支持情况以容器集群订购页面显示为准。自2026年4月1日起，原支持托管版的资源池将停止专有版集群的新建操作，但存量专有版集群业务可继续正常使用。 比较项 专有版集群 托管版集群 比较项 专有版集群 单实例 高可用 特点 自行创建控制节点（Master节点）以及工作节点（Worker节点） 只需创建工作节点（Worker节点），控制节点（Master节点）由云容器引擎创建并托管，您无需管理控制节点 计费项 集群管理、控制节点、工作节点以及其他IaaS云资源 集群管理、工作节点以及其他IaaS云资源 应用场景 适用于所有场景，您可以对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群 适用于个人学习体验 适用于对性能、可用性和安全性有更高要求的企业级用户 用户画像 有Kubernetes开发运维背景，懂Kubernetes 对控制节点（Master节点）有定制化需求 有明确的集群资源规划，完全自管集群 Kubernetes新手，用于个人学习体验 个人开发与测试 减少对Kubernetes的运维投入以及成本投入 不关心控制节点（Master），只关注业务应用 企业生产系统部署

事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 健康检查异常 healthCheckUnhealthy 重要 一般是由于后端服务器服务离线导致。事件上报一定次数后，不再上报。 检查后端服务器的服务运行状态。 ELB不会往异常的后端转发流量，如果云主机组下只有一个后端，则业务会中断。 健康检查恢复正常 healthCheckRecovery 次要 后端服务器健康检查恢复正常。 无需处理。 负载均衡器到后端服务器流量恢复正常。

如果您需要添加云搜索服务（CSS）、数据湖探索（DLI）和Hive的资产，可参考本章节进行操作。 前提要求 已完成大数据资产委托授权，参考云资源委托授权/停止授权进行操作。 已开通CSS和DLI服务，且CSS和DLI中已有资产，且对应子网下含有可用的IP配额。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 单击左侧导航树的，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“大数据”页签，进入大数据资产列表页面。 5. 在大数据资产列表左上角，单击“添加大数据源”。 6. 在弹出的“添加大数据源”对话框中，参考下表配置大数据源参数。 参数名称 参数说明 取值样例 资产名称 自定义参数。 区域 默认为当前帐号登录的区域。 大数据类型 选择大数据类型。 “Elasticsearch”，选择此类型时，其他参数说明请参见“Elasticsearch”参数说明。 “DLI”，选择此类型时，其他参数说明请参见“DLI”参数说明。 “Hive”，选择此类型时，其他参数说明请参见“Hive”参数说明。 Elasticsearch “Elasticsearch”参数说明： 参数名称 参数说明 取值样例 ES实例 在下拉框中选择ES实例。 版本 选择大数据类型对应的版本。 5.x 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 索引 输入大数据源对应的index。 用户名 输入访问大数据服务器的用户名。 密码 输入访问大数据服务器的密码。 “DLI”参数说明： 参数名称 参数说明 取值样例 队列 在下拉框中选择DLI中数据源的队列名称。 default DLI数据库 选择DLI中目标队列下的数据库名称。 5.x “Hive”参数说明： 参数名称 参数说明 取值样例 虚拟私有云 在下拉框中选择虚拟私有云。 子网 选择虚拟私有云对应的子网名称。 安全组 在下拉框中选择可用的安全组。 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 数据库名称 输入数据库名称。 7. 单击“确定”，大数据源资产添加完成。 大数据资产添加完成后，该大数据源的状态“连通性”为“检查中”，DSC会测试数据源的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的大数据源。 数据安全中心DSC能正常访问已添加的大数据源，该大数据源的状态“连通性”状态为“成功”。 若数据安全中心DSC不能正常访问已添加的大数据源，该大数据源的“连通性”状态为“失败”。单击“原因”查看失败的原因并重新正确填写访问目标大数据源的用户名和密码。

如何配置DNS？ DNS服务器用于解析弹性文件服务中文件系统的域名。 默认情况下，用于解析文件系统域名的DNS服务器的IP地址会在创建ECS时自动配置到ECS上，不需要人工配置。除非默认的DNS服务器的IP地址被修改，导致域名解析失败，才需要配置DNS的IP地址。 DNS服务器地址：100.125.0.250 Linux配置步骤如下： 以root用户登录云主机； 执行vi /etc/resolv.conf命令编辑“/etc/resolv.conf”文件。在已有的nameserver配置前写入DNS服务器的IP地址； 格式如下： nameserver DNS服务器IP地址 单击“Esc”，并输入:wq，保存退出； 执行以下命令，查看IP地址是否写入成功； cat /etc/resolv.conf 执行以下命令，验证文件系统域名是否可以解析到IP地址； nslookup 文件系统域名 说明 文件系统域名请从文件系统的共享路径中获取。 ​ （可选）在使用DHCP服务的网络环境，需要对“/etc/resolv.conf”文件进行锁定设置，禁止文件在云主机重启后进行自动修改。防止步骤2中写入的DNS服务器的IP地址被重置； 执行如下命令，进行文件锁定设置。如果需要再次对锁定文件进行修改，执行chattr i /etc/resolv.conf 命令，解锁文件； chattr +i /etc/resolv.conf 说明 如果需要再次对锁定文件进行修改，执行chattr i /etc/resolv.conf 命令，解锁文件。 执行如下命令，验证是否设置成功。 lsattr /etc/resolv.conf 回显如下图所示信息，表明文件处于锁定状态。 Windows系统操作步骤： 进入弹性云云主机界面，登录已创建好的Windows 2012版本的弹性云主机。 单击左下角“这台电脑”，弹出“这台电脑”界面。 右键单击“网络”，选择“属性”。弹出“网络和共享中心”，如图所示。选择“本地连接”。 在“活动”区域，选择“属性”。如图所示。 弹出“本地连接属性”对话框，选择“Internet 协议版本 4 (TCP/IPv4)”，单击“属性”。如图所示。 在弹出的“Internet 协议版本 4 (TCP/IPv4)属性”对话框中，选择“使用下面的DNS服务器地址”，如图所示，根据需要配置DNS。配置完成后，单击“确定”，完成配置。

本文为您介绍如何使用使用DNAT暴露公网服务。 NAT网关介绍 弹性容器实例对外提供服务的方式有三种，eip、elb、dnat，您可以按需进行选择使用。 NAT网关（CTNAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云（Virtual Private Cloud，CTVPC）内的计算实例提供网络地址转换（Network Address Translation），分为公网NAT网关和私网NAT网关两种。公网NAT网关使多个弹性云主机可以共享使用弹性IP访问Internet或使多个弹性云主机提供互联网服务；私网NAT网关可将源、目的网段地址转换为VPC私网中转IP地址，通过使用中转IP实现VPC内的计算实例与其他VPC、云下IDC的指定地址隔离互访。详细信息查看天翼云官网NAT网关帮助文档。 ECI弹性容器实例接入DNAT最佳实践 1. 创建公网nat网关。 2. 为vpc添加路由表，指定0.0.0.0/0的下一跳地址为刚刚创建的nat网关。 3. 为公网nat网关创建DNAT规则。 1. 控制台创建时，选择手动输入自定义地址。 2. openapi创建时，指定virtualMachineType为2，serverType为VM，详细接口请参考创建dnat规则文档。 4. 访问nat网关绑定的eip+externalPort即可访问对应服务。

本章节主要介绍如何创建分布式消息服务RabbitMQ实例。 RabbitMQ是一款基于AMQP协议的开源服务，用于在分布式系统中存储转发消息，服务器端用Erlang语言（支持高并发、分布式以及健壮的容错能力等特点）编写，支持多种语言的客户端，如：Python、Ruby、.NET、Java、JMS、C、PHP、ActionScript、XMPP、STOMP、AJAX等。 AMQP，即Advanced Message Queuing Protocol，高级消息队列协议，是应用层的一个开放标准协议。 前提条件 在创建RabbitMQ专享版实例前，需要保证存在可使用的虚拟私有云。创建虚拟私有云的方法，请参考《虚拟私有云用户指南》。 如果您已有虚拟私有云，可重复使用，不需要多次创建。 为RabbitMQ授权 如果RabbitMQ实例需要开启IPv6功能，在创建实例前，需要授予RabbitMQ操作VPC终端节点的权限，否则会导致创建失败。 在IAM控制台创建委托，委托参数如下，其他参数保持默认，创建委托的具体步骤请参见《统一身份认证服务 用户指南》的“委托 > 委托其他云服务管理资源”章节。 委托名称：dmsadmintrust 委托类型：云服务 云服务：分布式消息服务 持续时间：永久 委托将拥有所选策略：DMS VPCEndpointAccess 操作步骤 步骤1 登录管理控制台。 步骤2 在管理控制台右上角单击，选择区域资源池。 说明 此处请选择与您的应用服务相同的区域。 步骤3 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务>RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤4 单击页面右上方的“购买RabbitMQ实例”。 每个项目默认最多可以创建100个RabbitMQ专享版实例，如果您想创建更多实例，请联系客服申请增加配额。 步骤5 选择“计费模式”、“区域”、“项目”和“可用区”。 步骤6 设置“实例名称”和“企业项目”。 步骤7 设置实例信息。 1. 版本：RabbitMQ的版本号，当前仅支持3.8.35。 2. 实例类型：支持“单机”和“集群”。 单机：表示部署一个RabbitMQ代理。 集群：表示部署多个RabbitMQ代理，实现高可靠的消息存储。 3. 鲲鹏实例：“创建鲲鹏架构实例”选框，默认不勾选是X86架构的实例，勾选之后是ARM架构的鲲鹏实例。 4. 规格：根据实际情况选择规格。 说明 为了保证服务的稳定可靠，RabbitMQ采用了默认的40%高水位配置。当内存占用率到达40%高水位后，会触发流控，生产者发送消息会被阻塞。为了避免高水位的产生，请及时消费积压在队列中的消息。 5. 代理个数：根据实例情况选择代理个数。 6. 存储空间：选择RabbitMQ实例的磁盘类型和存储空间总量。 单机实例的取值范围：100GB ~ 30000GB 集群实例的取值范围为：100GB 代理数 ~ 30000GB 代理数 7. 虚拟私有云：选择已经创建好的虚拟私有云和子网。 虚拟私有云可以为您的RabbitMQ专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 说明 虚拟私有云和子网在RabbitMQ实例创建完成后，不支持修改。 子网开启IPv6后，RabbitMQ实例支持IPv6功能。 实例创建成功后，不支持修改IPv6开关。 使用内网IPv6方式连接实例需要通过VPC终端节点实现，使用期间会产生VPC终端节点的费用。 8. 安全组：在“安全组”下拉列表，可以选择已经创建好的安全组。 安全组是一组对弹性云主机的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 您可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 图1 设置实例信息 步骤8 设置连接RabbitMQ实例的用户名和密码。 步骤9 设置实例购买时长。 当选择了“包年/包月”付费模式时，页面才显示“购买时长”参数，您需要根据业务需要选择。 步骤10 单击“更多配置”，设置更多相关信息。 1. 设置“公网访问”。 您可以选择是否打开公网访问开关。 如果选择了开启，表示访问RabbitMQ实例可以通过弹性IP访问。这时页面会显示“弹性IP地址”，在“弹性IP地址”区域，您可下拉选择已有的弹性IP。另外，您可单击右侧的“创建弹性IP”，跳转到网络控制台的弹性IP页面，购买弹性IP。 图2 购买RabbitMQ实例时公网访问设置 说明 公网访问与VPC内访问相比，可能存在网络丢包和抖动等情况，且访问时延有所增加，因此建议仅在业务开发测试阶段开启公网访问进行调试。 如果用户在虚拟私有云的服务页面手动解绑定或删除EIP，相应RabbitMQ实例的公网访问功能会自动关闭。 2. 设置“SSL”。 客户端连接实例时SSL认证的开关。开启SSL，则数据加密传输，安全性更高。 SSL开关在实例创建完成后不支持修改，请明确是否需要开启 。 3. 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击右侧的“查看预定义标签”，系统会跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 您也可以直接在“标签键”和“标签值”中设置标签。 当前每个RabbitMQ实例最多支持设置20个不同标签。 4. 设置实例的描述信息。 步骤11 填写完上述信息后，单击“立即购买”，进入“规格确认”页面。 步骤12 确认实例信息无误且阅读并同意《分布式消息服务RabbitMQ服务等级协议》、《天翼云分布式消息服务协议》后，提交请求。 步骤13 在实例列表页面查看实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的RabbitMQ实例，然后重新创建。如果重新创建仍然失败，请联系客服。

本文向您介绍如何查看并导出CC攻击事件详情。 简介 天翼云WAF默认提供CC攻击事件，详细记录CC攻击事件攻击产生的时间、攻击时长和攻击详情，并且支持导出攻击事件。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通标准版及以上版本支持开启CC防护，识别CC攻击将自动拦截并生成攻击日志 操作步骤 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【CC攻击事件】页面 2. 通过域名、时间周期进行组合查询攻击日志 字段说明： 峰值QPS：CC攻击峰值QPS 攻击开始时间：CC攻击开始的时间 攻击结束时间：CC攻击结束的时间 攻击时长：CC攻击持续的时间 攻击详情：CC攻击QPS变化趋势、攻击请求数最高的前10个客户端IP、被攻击请求数最高的前10个URL

本节介绍等级保护测评合规最佳实践。 等级保护测评背景 网络安全等级保护测评是按照GB/T 222392019网络安全等级保护要求对各行业单位网络信息系统进行等级测评，以满足相关等级安全要求。云服务器需满足等级保护测评中安全计算环境要求，服务器安全卫士（原生版）提供相关安全能力，满足客户合规需求。 安全计算环境要求 服务器安全卫士（原生版）在等级保护测评（三级）“安全计算环境”中可满足项： 等保测评项 满足情况 对应能力说明 身份鉴别 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 满足 服务器安全卫士（原生版）通过基线检测功能帮助用户检测密码策略相关满足情况，协助用户完成策略配置；通过弱口令检测功能保障口令复杂度满足管理情况。 身份鉴别 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 满足 服务器安全卫士（原生版）通过基线检测功能帮助检测实现账户锁定策略相关满足情况，协助用户完成策略配置。 入侵防范 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。 满足 服务器安全卫士（原生版）通过扫描功能能够发现可能存在的已知漏洞，且能够出具修补建议帮助用户修补漏洞。 入侵防范 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 满足 服务器安全卫士（原生版）通过异常登录、暴力破解、后门检测、可疑操作、反弹Shell等功能对主机进行实时监控，发现入侵行为进行告警。 恶意代码防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 满足 服务器安全卫士（原生版）通过病毒查杀功能可对恶意代码进行查杀，满足该项要求。 说明 其余测评项需用户通过云主机操作系统本身的策略设置满足，服务器安全卫士（原生版）可通过基线检测功能协助客户进行策略检测。

参数名称 参数说明 名称/ID 存储库的名称和ID。单击目标存储库名称可以看到存储库详情。 类型 存储库的类型。 状态 存储库状态。 规格 存储库的规格。分为服务器备份和数据库备份两种规格。 o 服务器备份存储库：仅存放不包含数据库等应用的普通备份。 o 数据库备份存储库：仅存放含有数据库等应用服务器的备份。 已存储/总存储库容量(GB) 存储库中备份已占用的容量。显示存储库备份存放的容量情况。例如：显示20/100，则存储库的容量为100GB，其中备份已占用20GB的容量。 备份策略状态 存储库是否绑定备份策略和绑定的策略的状态。 o 未绑定：存储库未绑定备份策略。 o 启用：存储库已绑定备份策略，且备份策略为启用状态。 o 未启用：存储库已绑定备份策略，但备份策略为未启用状态。 已绑定服务器/磁盘/文件系统 已绑定服务器/磁盘/文件系统的个数。单击数字可以查看绑定资源的情况。存储库详情中的已绑定容量即为该存储库所有绑定资源的总容量。 计费模式 存储库的计费模式。分为包年/包月和按需两种模式。 o 包年包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。 o 按需计费是后付费模式，根据实际使用量进行计费，可以随时购买或删除存储库。费用直接从账户余额中扣除。

服务名称 服务类别 终端节点服务类型 终端节点服务示例 说明 内网DNS 云服务 接口 cn.ctyun.cngz1.dns dns：实现通过终端节点访问内网DNS。 弹性负载均衡 用户私有服务 接口 无 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器 用户私有服务 接口 无 ECS：作为服务器使用。

查看及下载报表 报表保留周期如下表所示，建议您定期下载报表，以满足等保测评以及审计的需要。 报表类型 保留周期 日报 报表保存180天，约半年 周报 报表保存52周，约一年 月报 报表保存24个月，约两年 请参考如下步骤查看及下载报表： 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 报表管理”，进入报表管理页面。 3. 在页面上方切换防火墙实例。 4. 在目标报表所在行的“操作”列，单击“预览”即可查看报表内容，单击“下载”即可将报表下载到本地。

本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对天翼云SDWAN资源的访问。 操作步骤 创建用户组和IAM用户 1. 创建用户组并给用户组授权，具体配置说明详见：创建用户组和授权。 2. 创建IAM用户，并使用新创建的用户登录天翼云，具体配置说明详见：创建IAM用户和登录。 创建自定义策略 天翼云提供了访问天翼云SDWAN资源的系统策略。如果系统策略不能满足需求，您还可以创建自定义策略，具体配置说明详见：创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。

本文主要介绍如何通过控制台管理日志单元。 概述 日志单元是云日志服务中日志数据的采集、存储、查询、分析的基本单元。每个日志单元隶属于一个日志项目，每个日志项目中可创建多个日志单元。本文介绍如何通过控制台管理日志单元。 创建日志单元 1. 登录云日志服务控制台日志管理首页。 2. 点击日志项目名称对应的下拉按钮，点击【创建日志单元】。 3. 在创建日志单元弹窗，输入以下参数： 1. 日志单元名称：输入单元名称，注意单元名称在当前项目内不可重复，且创建后不可修改。 2. 日志存储时间：日志采集后在云日志服务中的存储时长，超出存储时长后，日志数据将被老化删除。目前最长保存时间为365天。 4. 点击保存，日志单元创建成功，即可在目标日志项目下方生成一条日志单元信息。 注意 日志单元名称在当前日志项目内全局唯一，创建后不可修改。 查询日志单元 进入日志管理页面后，在指定的日志项目下（点击项目名称左侧的下拉按钮），可通过单元名称、单元ID、备注、标签查询指定的日志单元。 将鼠标悬浮在日志单元名称上，可查看日志单元id、日志单元原始名称信息。

不支持。 目前不支持将用户已购买的数据盘挂载至轻量型服务器。 用户可在购买轻量型云主机订购时选购数据盘，或在轻量云主机的云盘管理界面新增数据盘，以上操作完成购买后，系统将自动为您挂载，无需其他操作。

接口介绍 通过接口获取对应保护组复制网络的流量情况 接口约束 1、云容灾保护组存在 2、网络监控查看小时时间只提供1小时、6小时、1天(24小时)、7天(168小时)、30天(720小时) URI GET /v4/disaster/queryflowdisaster 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 参考请求示例 pairID 是 String 保护组ID 参考请求示例 flowHour 是 Integer 网络监控查看小时时间(1、6、24、168、720) 参考请求示例 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 :: statusCode 是 Integer 返回状态码(800为成功，900为失败) 参考响应示例 message 是 String 成功或失败时的描述，一般为英文描述 参考响应示例 description 是 String 成功或失败时的描述，一般为中文描述 参考响应示例 returnObj 否 Object 成功时返回对象 returnObj 表 errorCode 否 String 业务细分码，为product.module.code三段式码 参考状态码 error 否 String 业务细分码，为product.module.code三段式大驼峰码 参考状态码 表 returnObj 参数 是否必填 参数类型 说明 示例 下级对象 flowValue 是 Integer 数据 参考响应示例 timesTamp 是 Integer 时间戳 参考响应示例 unit 是 String 单位 参考响应示例

使用场景 快照功能可以帮助您实现以下需求： 日常备份数据 通过对云硬盘定期创建快照，实现数据的日常备份，可以应对由于误操作、病毒以及黑客攻击等导致数据丢失或不一致的情况。 快速恢复数据 应用软件升级或业务数据迁移等重大操作前，您可以创建一份或多份快照，一旦升级或迁移过程中出现问题，可以通过快照及时将业务恢复到快照创建点的数据状态。 例如，当由于云服务器A的系统盘A发生故障而无法正常开机时，由于系统盘A已经故障，因此也无法将快照数据回滚至系统盘A。此时您可以使用系统盘A已有的快照新创建一块云硬盘B并挂载至正常运行的云服务器B上，从而云服务器B能够通过云硬盘B读取原系统盘A的数据。 说明 当前通过快照回滚数据，只支持回滚快照数据至源云硬盘，不支持快照回滚到其它云硬盘。 快速部署多个业务 通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。例如数据挖掘、报表查询和开发测试等业务。这种方式既保护了原始数据，又能通过快照创建的新云硬盘快速部署其他业务，满足企业对业务数据的多元化需求。 快照原理 标准快照存储原理 标准快照是以数据块作为快照数据备份的最小粒度，快照分为全量快照和增量快照。为云硬盘创建的第一个快照为全量快照，全量快照包含创建快照时间点前云硬盘上的所有数据（数据块）；后续创建的快照均为增量快照，增量快照仅存储较上一个快照有变化的数据块。 全量快照和增量快照的元数据文件中会记录快照创建时间点前的所有数据块信息，因此通过任何一个快照回滚数据至云硬盘时，均可以恢复创建快照时间点前的所有云硬盘数据。 根据数据块的来源区分，快照元数据文件中包含三类数据块：继承数据块（继承于上一个快照的数据块）、修改数据块（较上一个快照有修改的数据块）、新增数据块（较上一个快照新增的数据块）。 快照的数据文件中只会存储较上一个快照有变化的数据块（修改数据块、新增数据块）。 如图所示，假设云硬盘在9:30和10:30均有数据写入，为了备份数据，在9:00创建快照1，在10:00创建快照2，在11:00创建快照3，创建快照原理如下： 9:00首次创建快照，快照1中包含云硬盘的所有数据，其中的数据块有A、B、C，快照1为全量快照。快照1的元数据文件中会记录云硬盘全量的数据块A、B、C。 随后写入数据，修改数据块A为A1，修改数据块B为B1，新增数据块D，10:00创建快照2，仅存储较快照1有变化的数据块A1、B1、D，快照2为增量快照。快照2的元数据文件中会记录云硬盘全量的数据块A1、B1、C、D，其中数据块C继承于快照1。 随后写入数据，修改数据块A1为A2，修改数据块C为C1，新增数据块E，11:00创建快照3，仅存储较快照2有变化的数据块A2、C1、E，快照3为增量快照。快照3的元数据文件中会记录云硬盘全量的数据块A2、B1、C1、D、E，其中数据块B1、D继承于快照2。

共享云硬盘的优点 多挂载点：单个共享云硬盘最多可同时挂载给16台云主机，既可以挂载至天翼云云主机，也可以挂载至天翼云物理机，灵活部署不同类型的工作负载。 高性能：高IOPS (Input/Output Operations Per Second)，低时延，满足现代应用的需求。 共享云硬盘的规格性能 共享云硬盘的规格性能与普通云硬盘规格性能一致，详情请参见产品规格。 共享云硬盘的数据共享原理 共享云硬盘本质上就是将同一块云硬盘挂载到多台云主机上。由于每一台云主机均可以在任意时刻对该云硬盘任意区域的数据进行读写，如果这些云主机之间没有相互约定读写数据的规则，将会导致这些云主机读写数据时相互干扰，以致出现不可预知的错误。 想要确保云主机在访问过程中不互相干扰，确保读写次序和读写意义，必须通过一个集群来对读写进行集中管理与调度，因此用户在实际使用过程中务必确保自行部署集群系统，如企业应用中常见的Windows MSCS集群、Linux RHCS集群和CFS集群应用等。 如果使用共享云硬盘的过程中并没有通过集群进行管理，有可能导致以下问题： 读写冲突导致数据不一致 当两台弹性云主机同时挂载了同一块共享云硬盘却没有在一个集群系统中进行管理时，这两台云主机无法感知对方的具体存储空间是否已被使用，可能导致存储空间的重复分配，最终导致空间分配冲突使得数据出错的情况。 比如，将一块共享云硬盘格式化为ext3文件系统后挂载给云主机A和云主机B，云主机A在某一时刻向云硬盘上的区域C和区域D写了文件系统的元数据，下一时刻云主机B又向区域E和区域D写了自己的元数据，则云主机A写入的数据将会被替换，随后读取区域D的元数据时即会出现错误。 数据缓存导致数据不一致 当两台弹性云主机同时挂载了同一块共享云硬盘却没有在一个集群系统中进行管理时，其中一台假定为云主机A，另一台为云主机B，云主机A将读取来的数据记录在缓存区域中，云主机A上的其他进程读取数据时，可直接去读缓存区域的数据提高效率，而云主机B若修改了缓存区域的数据，云主机A是无法感知数据变化的，此时若继续读取缓存，则会导致读取的数据不一致情况。比如，将一块共享云硬盘格式化为ext3文件系统后挂载给云主机A和云主机B，两台云主机均将文件系统的元数据进行了缓存，此后用户在云主机A中创建了一个新的文件File，但云主机B并无法感知该修改，依旧从缓存中读取数据，导致用户在云主机B中无法看到文件File。 除此之外，还可能会导致存储性能下降，读写速度变慢，响应时间延长等问题。

前提条件 已获取“主机运维”模块管理权限。 已获取资源访问控制权限，即已被关联访问控制策略或访问授权工单已审批通过。 资源主机网络连接正常，且资源账户登录帐号和密码无误。 操作步骤 1 登录云堡垒机系统 2 选择“运维 > 主机运维”，进入主机运维列表页面。 3 单击“登录”，登录会话进行操作。 RDP/VNC协议类型主机会话窗口 SSH/TELNET协议类型主机会话窗口 4 通过协同分享，可邀请同事参与此会话，一同参与操作，详细说明请参见10.1.8 协同分享。 单击“协同分享”，展开协同会话界面。 邀请同事参与会话，单击“邀请好友进入此会话”。 链接可复制发送给多人。 拥有该云堡垒机帐户访问权限的用户，才能正常打开连接，否则将会上报连接错误，提示“由于服务器长时间无响应，连接已断开，请检查您的网络并重试（Code：T514）”。 复制链接，发送给拥有云堡垒机帐户权限的用户，登录云堡垒机，打开新的浏览器窗口，粘贴链接。 单击“立即进入”参与会话操作。 会话操作参数说明 参数 说明 :: 申请控制权 向会话邀请者发申请控制权，邀请者同意后，可以操作此会话。 退出会话 退出此会话。 5 通过文件传输，可对云主机或主机网盘中文件进行上传或下载，详细说明请参见文件传输。 单击“文件传输”，展开文件传输界面。 默认为“云主机文件”，单击“云主机文件”可切换目标地址到“主机网盘”。 切换目标地址 单击上传图标，上传文件。 “主机网盘”属于云堡垒机用户个人空间，其他用户不可见，用户可以将“主机网盘”文件上传到多个主机。 Windows服务器文件存放的默认路径在G盘，Linux服务器文件存放的默认路径在根目录。 Windows服务器上传下载文件，需打开服务器的磁盘目录，对NetDisk的G盘上文件复制/粘贴，实现对文件的上传/下载。 6 通过文件管理，可对云主机或主机网盘中文件或文件夹进行管理。 单击“文件传输”，展开文件传输界面。 单击可以新建文件夹。 勾选一个或多个文件或文件夹，单击删除图标，可删除文件或文件夹。 勾选一个文件或文件夹，单击编辑图标，可修改文件或文件夹名称。 单击刷新图标，可刷新全部文件目录。 SSH/TELNET协议类型主机会话 Linux运维操作说明 参数 说明 :: 中文编码 字符协议支持多种中文编码。 复制/粘贴 选中字符，按“Ctrl+C”进行复制，按“Ctrl+V”进行粘贴。 预置命令 对于字符较长，且经常输入的命令，可以提前预置。 终端类型 字符协议支持切换终端类型，包括Linux和Xterm两种类型。 群发键 开启群发可同时对多个会话进行命令输入。 字体大小 设置字体大小：大、中、小。 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 Windows主机运维操作说明 参数 说明 :: 复制/粘贴 远程文本：选中字符， 需按两次“Ctrl+C”复制，按“Ctrl+V”粘贴。 远程机器文件：选中文本或图像，“Ctrl+B”复制，“Ctrl+G”粘贴。 说明 Web浏览器运维支持复制/粘贴大量字符不乱码，本地到远端最多8万字符，远端到本地最多100万字节。 分辨率 可切换当前操作界面分辨率，切换途中会重新创建连接。 切换鼠标 可分别切换为本地鼠标和远程鼠标。 Windows键 适用于Win快捷键操作。 锁屏键 “Ctrl+Alt+Delete” 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 RDP主机会话窗口